Technische Übersicht zu GKE Enterprise (Anthos)

GKE Enterprise ist die cloudzentrierte Containerplattform von Google, auf der moderne Anwendungen überall einheitlich und umfassend ausgeführt werden können. Dieser Leitfaden bietet einen Überblick über die Funktionsweise von GKE Enterprise und wie Sie damit verwaltbare, skalierbare und zuverlässige Anwendungen bereitstellen können.

Vorteile von GKE Enterprise

Unternehmen, die cloudnative Technologien wie Container, Containerorchestrierung und Service Meshes nutzen, kommen in der Regel an einen Punkt, an dem ein einzelner Cluster nicht mehr ausreicht. Organisationen entscheiden sich aus unterschiedlichen Gründen für die Bereitstellung mehrerer Cluster, um ihre technischen und geschäftlichen Ziele zu erreichen. Dazu gehört beispielsweise die Trennung der Produktion von Nicht-Produktionsumgebungen, wechselnde gesetzliche Vorschriften oder die Trennung von Diensten für verschiedene Ebenen, Regionen oder Teams. Die Verwendung mehrerer Cluster verursacht jedoch eigene Schwierigkeiten und Aufwand in Bezug auf konsistente Konfiguration, Sicherheit und Verwaltung – wenn beispielsweise Cluster einzeln konfiguriert werden, besteht das Risiko von Fehlern, und es kann schwierig sein herauszufinden, wo Probleme genau auftreten.

Die Dinge können noch komplexer (und teurer) werden, wenn sich nicht alle Cluster an einem Ort befinden. Viele Unternehmen, die Google Cloud nutzen, möchten oder müssen außerdem Arbeitslasten in ihren eigenen Rechenzentren, Werken, Einzelhandelsgeschäften und sogar in anderen öffentlichen Clouds ausführen. Sie möchten aber nicht eigenhändig neue Containerplattformen an all diesen Standorten erstellen oder neu darüber nachdenken, wie sie Containerarbeitslasten konfigurieren, sichern, überwachen und optimieren, je nachdem, wo sie ausgeführt werden, was zu inkonsistenten Umgebungen, Sicherheits- und Fehlkonfigurationsrisiken und operativem Aufwand führen kann.

Beispiel:

  • Ein Finanzinstitut entwickelt eine digitale Banking-Plattform in Google Cloud und erfordert konsistente Konfigurationen, strenge Sicherheitsrichtlinien und detaillierte Einblicke in die Kommunikation verschiedener Anwendungen. Ein großes Einzelhandelsunternehmen, das eine moderne E-Commerce-Plattform entwickelt, hat dieselben Anforderungen. Beide Unternehmen verwalten mithilfe von GKE mehrere Cluster in mehreren Regionen in Google Cloud.
  • Ein weiteres globales Finanzinstitut entwickelt komplexe Risikomanagement-Anwendungen, Interbank-Überweisungs-Anwendungen und viele andere sensible Arbeitslasten, von denen einige hinter der Unternehmens-Firewall bleiben müssen und andere auf GKE in Google Cloud bereitgestellt werden.
  • Ein großer Einzelhändler im Apothekenbereich entwickelt eine neue Impfstoffplanung, Kunden-Benachrichtigungsdienste und Apps für digitale Interaktion, mit denen der Apothekenbetrieb modernisiert und das Erlebnis im Geschäft individueller gestaltet werden soll. Diese Anwendungen erfordern Containerplattformen im Geschäft, die in von Google Cloud gehostete Dienste wie BigQuery und Retail Search eingebunden sind.
  • Ein Medien- und Unterhaltungsunternehmen benötigt eine konsistente Containerumgebung in 30 Baseballstadien, die alle mit Google Cloud verbunden und verwaltet werden, um Terabytes an Spielstatistiken erfassen und analysieren zu können und Faninteraktionen sowohl innerhalb des Stadions als auch virtuell zu steigern.
  • Ein Hardwarehersteller muss die Produktqualität im Werk und die Arbeitersicherheit testen und optimieren. Dazu werden Daten mit sehr geringer Latenz analysiert, um Entscheidungen nahezu in Echtzeit zu treffen, während die Daten darüber hinaus in Google Cloud konsolidiert werden, um Analysen über längere Zeiträume zu ermöglichen.
  • Ein Software- und Internetunternehmen, das eine Integrationsplattform in einem SaaS-Modell (Software as a Service) anbietet, muss seine Plattform auf mehreren großen öffentlichen Clouds anbieten, damit sie dort ausgeführt werden kann, wo seine Kunden die Nähe zu nativen Cloud-Diensten benötigen. Das Unternehmen benötigt eine einheitliche und konsistente Methode zum Bereitstellen, Konfigurieren, Sichern und Überwachen von Containerumgebungen in mehreren öffentlichen Clouds über eine einzige Verwaltungsebene, um den operativen Aufwand der Verwaltung der einzelnen Cloud-Umgebungen mit verschiedenen nativen Managementtools zu vermeiden.

GKE Enterprise kann all diese Organisationen unterstützen, indem es eine konsistente Plattform bereitstellt, die Folgendes ermöglicht:

  • Bestehende Anwendungen und Infrastrukturen modernisieren
  • Ein einheitliches Cloud-Betriebsmodell (an einem zentralen Ort) erstellen, um Container-Cluster überall zu erstellen, zu aktualisieren und zu optimieren
  • Große Multi-Cluster-Anwendungen als Flotten skalieren – logische Gruppierungen ähnlicher Umgebungen – mit konsistenter Sicherheits-, Konfigurations- und Dienstverwaltung
  • Konsistente Governance und Sicherheit von einer einheitlichen Steuerungsebene aus erzwingen

Dabei kommen speziell ausgerichtete Tools und Features zum Einsatz, mit denen sie containerisierte Arbeitslasten im gesamten Unternehmen steuern, verwalten und betreiben können. So können sie Best Practices und Prinzipien anwenden, die wir bei der Ausführung von Diensten bei Google gewonnen haben.

GKE Enterprise-Grundlagen

Diagramm zu den Funktionen der GKE Enterprise-Plattform

Die GKE Enterprise-Funktionen basieren auf der Idee einer Flotte: einer logischen Gruppierung von Kubernetes-Clustern, die zusammen verwaltet werden können. Eine Flotte kann vollständig aus GKE-Clustern in Google Cloud bestehen oder auch Cluster außerhalb von Google Cloud umfassen, die lokal und in anderen öffentlichen Clouds wie AWS und Azure ausgeführt werden.

Nachdem Sie eine Flotte erstellt haben, können Sie die flottenbasierten Funktionen von GKE Enterprise verwenden, mit denen Sie Mehrwert schaffen und die Arbeit über mehrere Cluster und Infrastrukturanbieter hinweg vereinfachen können:

  • Tools für die Konfigurations- und Richtlinienverwaltung, mit denen Sie einfacher und in größerem Umfang arbeiten können. Sie können die gleichen Konfigurationen, Funktionen und Sicherheitsrichtlinien automatisch in Ihrer gesamten Flotte hinzufügen und aktualisieren, unabhängig davon, wo sich Ihre Cluster befinden.
  • Flottenweite Netzwerkfeatures, mit denen Sie den Traffic in Ihrer gesamten Flotte verwalten können, einschließlich Multi-Cluster-Ingress für Anwendungen, die mehrere Cluster umfassen, und Features zur Service-Mesh-Traffic-Verwaltung.
  • Features zur Identitätsverwaltung, mit denen Sie die Authentifizierung für Flottenarbeitslasten und -nutzer konsistent konfigurieren können.
  • Beobachtbarkeitsfeatures, mit denen Sie Ihre Flottencluster und Anwendungen überwachen und auftretende Fehler beheben können, einschließlich in Bezug auf Zustand, Ressourcennutzung und Sicherheitsstatus.
  • Tools zur Teamverwaltung, mit denen Sie dafür sorgen können, dass Ihre Teams Zugriff auf die Infrastrukturressourcen haben, die sie zum Ausführen ihrer Arbeitslasten benötigen, und Teams eine teambezogene Ansicht ihrer Ressourcen und Arbeitslasten zur Verfügung stellen können.
  • Für auf Mikrodiensten basierende Anwendungen, die in Ihrer Flotte ausgeführt werden, bietet Anthos Service Mesh leistungsstarke Tools für Anwendungssicherheit, Netzwerk und Beobachtbarkeit in Ihrem Mesh-Netzwerk.

Sie können die gesamte GKE Enterprise-Plattform aktivieren, um alle verfügbaren Features zu nutzen, einschließlich Multi-Cloud- und Hybrid-Cloud-Funktionen, oder Sie können eine Flotte ausschließlich in Google Cloud erstellen und nach Bedarf dann für zusätzliche Unternehmensfeatures bezahlen, wenn Sie sie benötigen. GKE Enterprise nutzt branchenübliche Open-Source-Technologien und unterstützt mehrere Infrastrukturanbieter. Dadurch können Sie GKE Enterprise flexibel so nutzen, wie es Ihren geschäftlichen und organisatorischen Anforderungen entspricht.

Funktionsweise von Flotten

Mit Flotten können Sie in GKE Enterprise Kubernetes-Cluster logisch gruppieren und normalisieren und so die Verwaltung der Infrastruktur vereinfachen. Durch Implementierung von Flotten können Sie die Verwaltung von einzelnen Clustern bis hin zu ganzen Clustergruppen optimieren – mit einer einzigen Ansicht Ihrer gesamten Flotte in der Google Cloud Console. Flotten sind jedoch mehr als nur Gruppen von Clustern. Die Prinzipien der Gleichheit und des Vertrauens, die in einer Flotte vorausgesetzt werden, sind die Basis, mit der Sie das umfassende Portfolio an flottenfähigen Funktionen nutzen können.

Das erste dieser Flottenprinzipien ist Gleichheit. Das bedeutet, dass innerhalb einer Flotte von Clustern einige Kubernetes-Objekte, z. B. Namespaces in verschiedenen Clustern, so behandelt werden, als wären sie identisch, wenn sie denselben Namen haben. Diese Normalisierung vereinfacht die gleichzeitige Verwaltung vieler Cluster und wird von flottenfähigen Funktionen in GKE Enterprise verwendet. Beispiel: Sie können eine Sicherheitsrichtlinie mit Policy Controller auf alle Flotten-Dienste im Namespace foo anwenden, unabhängig davon, in welchen Clustern sie sich befinden oder wo diese Cluster sind.

Flotten nehmen außerdem die Dienstgleichheit (alle Dienste in einem Namespace mit demselben Namen können als derselbe Dienst behandelt werden, z. B. für Zwecke der Trafficverwaltung) und die Identitätsgleichheit (Dienste und Arbeitslasten innerhalb einer Flotte können eine gemeinsame Identität für die Authentifizierung und Autorisierung nutzen) an. Das Prinzip der Flottengleichheit bietet auch einige gute Anleitungen zur Einrichtung von Namespaces, Diensten und Identitäten. Dabei wird den Abläufen gefolgt, die von vielen Organisationen und Google bereits als Best Practices implementiert werden.

Ein weiteres Schlüsselprinzip ist Vertrauen. Dienstgleichheit, Gleichheit der Arbeitslastidentität und Gleichheit der Mesh- Identität basieren auf dem Prinzip einer hohen Vertrauensebene zwischen Mitgliedern einer Flotte. Dieses Vertrauen ermöglicht eine optimierte Verwaltung dieser Ressourcen für die gesamte Flotte, anstatt Cluster für Cluster zu verwalten. Außerdem spielen dann auch Clustergrenzen eine geringere Rolle.

Wie Sie Ihre Flotten organisieren, hängt von Ihren organisatorischen und technischen Anforderungen ab. Jede Flotte ist einem bestimmten Google Cloud-Projekt zugeordnet, dem sogenannten Flotten-Hostprojekt, mit dem Sie Ihre Flotte verwalten und aufrufen, kann jedoch auch Cluster aus anderen Projekten enthalten. Sie können beispielsweise separate Flotten für Ihre Produktions-, Test- und Entwicklungsumgebungen oder separate Flotten für verschiedene Geschäftsbereiche haben (verschiedene Teams als Mandanten in Ihrer Infrastruktur können innerhalb von Flotten mithilfe von Bereichen verwaltet werden). Cluster mit einem hohen Maß an dienstübergreifender Kommunikation profitieren am meisten von der gemeinsamen Verwaltung in einer Flotte. Cluster in derselben Umgebung (z. B. Ihrer Produktionsumgebung) sollten sich in derselben Flotte befinden. Wir empfehlen im Allgemeinen die größte Flottengröße, die Vertrauen und Gleichheit zwischen Diensten ermöglicht. Beachten Sie jedoch, dass Sie mit Anthos Service Mesh – falls Sie sich dafür entscheiden, es zu verwenden – eine detailliertere Dienstzugriffssteuerung in Ihrer Flotte ermöglichen können.

Weitere Informationen:

Kubernetes-Cluster überall

Kubernetes ist das Herzstück von GKE Enterprise. Beim Erstellen Ihrer Flotte stehen Ihnen damit eine Vielzahl von Kubernetes-Clusteroptionen zur Auswahl:

  • Google Kubernetes Engine (GKE) ist die verwaltete Kubernetes-Implementierung von Google mit den folgenden Optionen für GKE Enterprise-Nutzer:
    • In Google Cloud hat GKE eine in der Cloud gehostete Steuerungsebene und Cluster, die aus Compute Engine-Instanzen bestehen. Während GKE in Google Cloud allein Ihnen bereits dabei hilft, Kubernetes automatisch bereitzustellen, zu skalieren und zu verwalten, können Sie durch das Gruppieren von GKE-Clustern in einer Flotte einfacher in großem Maßstab arbeiten und GKE Enterprise-Features zusätzlich zu den bereits leistungsstarken Features zur Clusterverwaltung verwenden, die von GKE angeboten werden.
    • Außerhalb von Google Cloud wird GKE für die Verwendung mit anderen Infrastrukturanbietern wie Azure, AWS und auf Ihrer eigenen lokalen Hardware (entweder auf VMware oder auf Bare Metal) erweitert. Bei diesen Optionen wird die von Google bereitgestellte Kubernetes-Steuerungsebene zusammen mit Ihren Clusterknoten in Ihrem Rechenzentrum oder Cloud-Anbieter ausgeführt, wobei Ihre Cluster mit Ihrem Flotten-Hostprojekt in Google Cloud verbunden sind.
  • Mit Google Distributed Cloud Edge können Sie Ihrer Flotte auch lokale GKE-Cluster hinzufügen, die dieses Mal auf von Google bereitgestellter und gewarteter Hardware ausgeführt werden und einen Teil der GKE Enterprise-Features unterstützen.
  • GKE-Cluster sind nicht Ihre einzige Option. GKE Enterprise bietet auch die Möglichkeit, konforme Kubernetes-Cluster von Drittanbietern in Ihrer Flotte zu registrieren, z. B. EKS- und AKS-Cluster, die als angehängte Cluster bezeichnet werden. Mit dieser Option können Sie vorhandene Arbeitslasten weiterhin dort ausführen, wo sie sind, und gleichzeitig mit einem Teil der GKE Enterprise-Features einen Mehrwert schaffen. GKE Enterprise verwaltet weder die Kubernetes-Steuerungsebene noch die Knotenkomponenten, sondern nur die GKE Enterprise-Dienste, die auf diesen Clustern ausgeführt werden.

Für alle GKE-basierten Cluster, einschließlich lokaler und öffentlicher Clouds, bietet GKE Enterprise Tools für die Clusterverwaltung und den Lebenszyklus (Erstellen, Aktualisieren, Löschen und Upgraden), darunter Befehlszeilendienstprogramme und – für einige Clustertypen – die Verwaltung über die Google Cloud Console.

Clusterkonfiguration

Unabhängig davon, wo sich Ihre Cluster befinden, bietet Config Sync eine einheitliche Möglichkeit zum Verwalten der Clusterkonfiguration über Ihre gesamte Flotte hinweg, einschließlich der angehängten Cluster. Config Sync verwendet den Ansatz "Konfiguration als Daten": der gewünschte Status Ihrer Umgebung wird deklarativ definiert, als Single Source of Truth unter der Versionsverwaltung verwaltet und direkt mit wiederholbaren Ergebnissen angewendet. Config Sync überwacht ein zentrales Git-Repository, das Ihre Konfiguration enthält, und wendet alle Änderungen automatisch auf die angegebenen Zielcluster an, wo auch immer sie ausgeführt werden. Jede YAML oder JSON, die mit kubectl-Befehlen angewendet werden kann, kann mit Config Sync verwaltet und auf jeden Kubernetes-Cluster angewendet werden.

Migration und VMs

Für Organisationen, die ihre Anwendungen im Rahmen ihres Modernisierungsprozesses in Container und Kubernetes migrieren möchten, enthält GKE Enterprise Migrate to Containers mit Tools, mit denen VM-basierte Arbeitslasten in Container umgewandelt werden, die auf GKE ausgeführt werden. Auf Bare-Metal-GKE Enterprise-Plattformen (GKE on Bare Metal und Distributed Cloud Edge) können Organisationen auch VM Runtime in Google Distributed Cloud verwenden, um VMs auf Kubernetes so auszuführen wie Container, sodass sie weiterhin vorhandene VM-basierte Arbeitslasten verwenden können, während sie auch neue containerbasierte Anwendungen entwickeln und ausführen. Wenn sie bereit sind, können sie diese VM-basierten Arbeitslasten in Container migrieren und weiterhin dieselben GKE Enterprise-Verwaltungstools verwenden.

Weitere Informationen:

GKE Enterprise-Features

Im weiteren Verlauf dieses Leitfadens werden die Features vorgestellt, die GKE Enterprise zur Verwaltung Ihrer Flotten und der darauf ausgeführten Anwendungen bietet. Eine vollständige Liste der verfügbaren Features für jeden unterstützten Kubernetes-Clustertyp finden Sie unter GKE Enterprise-Bereitstellungsoptionen.

Netzwerk, Authentifizierung und Sicherheit

Nachdem Sie Ihre Flotte erstellt haben, unterstützt GKE Enterprise Sie bei der Verwaltung des Traffics, der Verwaltung der Authentifizierung und Zugriffssteuerung sowie der konsistenten Durchsetzung von Sicherheits- und Compliancerichtlinien in Ihrer gesamten Flotte.

Verbindung zur Flotte herstellen

Zum Verwalten der Verbindung zu Google in Hybrid- und Multi-Cloud-Flotten bietet Google eine Kubernetes-Bereitstellung namens Connect Agent. Sobald der Agent im Rahmen der Flottenregistrierung in einem Cluster installiert ist, stellt er eine Verbindung zwischen Ihrem Cluster außerhalb von Google Cloud und seinem Google Cloud-Flotten-Hostprojekt her. So können Sie Ihre Cluster und Arbeitslasten über Google verwalten und Google-Dienste verwenden.

In lokalen Umgebungen kann die Verbindung zu Google je nach den Latenz-, Sicherheits- und Bandbreitenanforderungen Ihrer Anwendungen für die Interaktion mit Google Cloud das öffentliche Internet, ein Hochverfügbarkeits-VPN, Public Interconnect oder Dedicated Interconnect verwenden.

Weitere Informationen:

Load Balancing

Zum Verwalten von Traffic zu und innerhalb Ihrer Flotte bietet GKE Enterprise die folgenden Load-Balancing-Lösungen:

  • GKE-Cluster in Google Cloud können die folgenden Optionen verwenden:
  • Bei lokalen GKE-Clustern können Sie aus verschiedenen Load-Balancing-Modi wählen, die Ihren Anforderungen entsprechen, einschließlich eines gebündelten MetalLB-Load-Balancers und der Option, das Load-Balancing manuell für Ihre vorhandenen Lösungen zu konfigurieren
  • Distributed Cloud Edge enthält gebündeltes MetalLB-Load-Balancing
  • GKE-Cluster in anderen öffentlichen Clouds verwenden plattformnative Load-Balancer

Weitere Informationen:

Authentifizierung und Zugriffssteuerung

Eine große Herausforderung bei der Arbeit mit mehreren Clustern über verschiedene Infrastrukturanbieter hinweg ist die Verwaltung der Authentifizierung und Autorisierung. Für die Authentifizierung bei den Clustern Ihrer Flotte bietet GKE Enterprise Optionen für eine konsistente, einfache und sichere Authentifizierung bei der Interaktion mit Clustern über die Befehlszeile mit kubectl und über die Google Cloud Console.

  • Google-Identität verwenden: Mit dem Connect Gateway können sich Nutzer und Dienstkonten mit ihren Google-IDs bei Clustern in Ihrer gesamten Flotte authentifizieren, unabhängig davon, wo sich die Cluster befinden. Mit diesem Feature können Sie eine direkte Verbindung zu Clustern herstellen oder es mit Build-Pipelines und anderen DevOps-Automatisierungen nutzen.
  • Drittanbieter-Identität verwenden: Mit dem GKE Identity Service von GKE Enterprise können Sie die Authentifizierung mit externen Identitätsanbietern konfigurieren, damit Ihre Teams vorhandene Nutzernamen, Passwörter und Sicherheitsgruppen von OIDC-Anbietern (und LDAP, falls unterstützt) wie Microsoft AD FS und Okta im gesamten Gerätepool weiterhin nutzen können.

Sie können beliebig viele unterstützte Identitätsanbieter für einen Cluster konfigurieren.

Nachdem Sie die Authentifizierung eingerichtet haben, können Sie die standardmäßige rollenbasierte Zugriffssteuerung (RBAC) von Kubernetes verwenden, um authentifizierte Nutzer zur Interaktion mit Ihren Clustern zu autorisieren. Mit Identity and Access Management können Sie den Zugriff auf Google-Dienste wie Connect Gateway steuern.

Für Arbeitslasten, die auf Ihren Clustern ausgeführt werden, bietet GKE Enterprise flottenweite Workload Identity. Mit diesem Feature können Arbeitslasten in Clustern der Flottenmitglieder Identitäten aus einem flottenweiten Workload Identity-Pool verwenden, wenn sie sich bei externen Diensten wie Cloud APIs authentifizieren. Dies vereinfacht das Einrichten des Zugriffs einer Anwendung auf diese Dienste, anstatt den Zugriff Cluster für Cluster konfigurieren zu müssen. Wenn Sie beispielsweise eine Anwendung mit einem Back-End haben, das in mehreren Clustern in derselben Flotte bereitgestellt wird und sich bei einer Google API authentifizieren muss, können Sie die Anwendung so konfigurieren, dass alle Dienste im "Back-End"-Namespace diese API verwenden können.

Weitere Informationen:

Richtlinienverwaltung

Eine weitere Herausforderung bei der Arbeit mit mehreren Clustern ist die Durchsetzung konsistenter Richtlinien für Sicherheit und Compliance mit gesetzlichen Vorschriften für die gesamte Flotte. Viele Organisationen haben strenge Sicherheits- und Complianceanforderungen, zum Beispiel zum Schutz von Verbraucherinformationen in Finanzdienstleistungs-Anwendungen, und müssen in der Lage sein, diese in großem Maßstab zu erfüllen.

Um Ihnen dabei zu helfen, erzwingt Policy Controller eine benutzerdefinierte Geschäftslogik für jede Kubernetes API-Anfrage an die relevanten Cluster. Diese Richtlinien dienen als „Leitplanken” und verhindern, dass Änderungen an der Konfiguration der Kubernetes API gegen Sicherheits-, Betriebs- oder Compliance-Einstellungen verstoßen. Sie können Richtlinien festlegen, um nicht konforme API-Anfragen in Ihrer gesamten Flotte aktiv zu blockieren oder einfach die Konfiguration Ihrer Cluster zu prüfen und Verstöße zu melden. Allgemeine Sicherheits- und Complianceregeln können einfach mit den integrierten Regeln von Policy Controller ausgedrückt werden. Sie können auch eigene Regeln mit der erweiterbaren Richtliniensprache basierend auf dem Open-Source-Projekt Open Policy Agent schreiben.

Weitere Informationen:

Sicherheit auf Anwendungsebene

Für Anwendungen, die in Ihrer Flotte ausgeführt werden, bietet GKE Enterprise Zugriffssteuerungs- und Authentifizierungsfunktionen mit gestaffelten Sicherheitsebenen, darunter:

  • Binärautorisierung: Hiermit können Sie dafür sorgen, dass nur vertrauenswürdige Images auf den Clustern Ihrer Flotte bereitgestellt werden.
  • Kubernetes-Netzwerkrichtlinie: Damit können Sie festlegen, welche Pods miteinander und mit anderen Netzwerkendpunkten kommunizieren können.
  • Dienstzugriffssteuerung von Anthos Service Mesh: Damit können Sie eine detaillierte Zugriffssteuerung für Ihre Mesh-Dienste anhand von Dienstkonten und Anfragekontexten konfigurieren.
  • Anthos Service Mesh-Zertifizierungsstelle (Mesh CA): Sie generiert und rotiert automatisch Zertifikate, sodass Sie die gegenseitige TLS-Authentifizierung (mTLS) einfach zwischen Ihren Diensten aktivieren können.

Beobachtbarkeit

Ein wichtiger Bestandteil des Betriebs und der Verwaltung von Clustern im großen Maßstab ist die einfache Überwachung der Cluster und Anwendungen Ihrer Flotte, einschließlich des Zustands, der Ressourcennutzung und des Sicherheitsstatus.

GKE Enterprise in der Google Cloud Console

Die Google Cloud Console ist die Weboberfläche von Google Cloud, über die Sie Ihre Projekte und Ressourcen verwalten können. GKE Enterprise bietet Unternehmensfeatures und eine strukturierte Ansicht Ihrer gesamten Flotte auf den GKE Google Cloud Console-Seitenund stellt so eine integrierte Oberfläche bereit, die Ihnen dabei hilft, Ihre Anwendungen und Ressourcen zentral an einem Ort zu verwalten. Mit Dashboard-Seiten erhalten Sie einen Überblick über Details und können Ihre Untersuchungen dann genau so weit fortsetzen wie nötig, um mögliche Probleme zu erkennen.

  • Übersicht: Die allgemeine Übersicht bietet einen Überblick über die Ressourcennutzung Ihrer Flotte. Dieser basiert auf Informationen von Cloud Monitoring, worin CPU-, Arbeitsspeicher- und Laufwerksauslastung angezeigt werden – zusammengefasst nach Flotte und Cluster – sowie auf der flottenweiten Policy Controller- und Config Sync-Abdeckung.
  • Clusterverwaltung: Die Ansicht „GKE Enterprise-Cluster“ bietet eine sichere Konsole zur Anzeige des Status aller Cluster Ihres Projekts und Ihrer Flotte, einschließlich des Clusterstatus, zur Registrierung von Clustern bei Ihrer Flotte und zur Erstellung neuer Cluster für Ihre Flotte (nur Google Cloud). Für Informationen zu bestimmten Clustern können Sie diese Ansicht weiter aufschlüsseln oder andere GKE-Dashboards aufrufen, um weitere Details zu Ihren Clusterknoten und Arbeitslasten zu erhalten.
  • Teamübersicht: Wenn Sie Teams für Ihre Flotte eingerichtet haben, bietet die Teamübersicht die Ressourcennutzung, Fehlerraten und andere nach Team aggregierte Messwerte. So können Administratoren und Teammitglieder Fehler leichter aufrufen und beheben.
  • Featureverwaltung: In der Ansicht „Featureverwaltung“ können Sie den Status von GKE Enterprise-Features für Ihre Flottencluster aufrufen.
  • Service Mesh: Wenn Sie Anthos Service Mesh in Google Cloud verwenden, ist durch die Service Mesh-Ansicht die Beobachtbarkeit in den Zustand und die Leistung Ihrer Dienste geboten. Anthos Service Mesh sammelt und aggregiert Daten zu jeder Dienstanfrage und -antwort. Das bedeutet, dass Sie Ihren Code nicht instrumentieren müssen, um Telemetriedaten zu erfassen oder Dashboards und Grafiken manuell einzurichten. Anthos Service Mesh lädt automatisch Messwerte und Logs für den gesamten Traffic innerhalb des Clusters in Cloud Monitoring und Cloud Logging hoch. Diese detaillierte Telemetrie ermöglicht Anbietern, das Verhalten von Diensten zu beobachten. Außerdem können sie damit Fehler bei Anwendungen beheben, diese verwalten und optimieren.
  • Sicherheitsstatus: Die Ansicht „Sicherheitsstatus“ zeigt Ihnen fundierte, umsetzbare Empfehlungen zur Verbesserung des Sicherheitsstatus Ihrer Flotte.
  • Konfigurationsverwaltung: In der Konfigurationsansicht erhalten Sie einen schnellen Überblick über den Konfigurationsstatus aller Flottencluster mit aktiviertem Config Sync und können das Feature schnell zu Clustern hinzufügen, die noch nicht eingerichtet wurden. Sie können Konfigurationsänderungen einfach verfolgen und sehen, welcher Zweig und Commit-Tag auf jeden Cluster angewendet wurde. Mit flexiblen Filtern können Sie den Status der Konfigurationseinführung problemlos nach Cluster, Zweig oder Tag aufrufen.
  • Richtlinienverwaltung: Die Richtlinienansicht zeigt Ihnen, wie viele Cluster in Ihrer Flotte Policy Controller aktiviert haben, bietet eine Übersicht über Compliance-Verstöße und ermöglicht Ihnen, das Feature zu Flottenclustern hinzuzufügen.

Logging und Monitoring

Ausführlichere Informationen zu Ihren Clustern und deren Arbeitslasten erhalten Sie mit Cloud Logging und Cloud Monitoring. Cloud Logging bietet einen einheitlichen Ort zum Speichern und Analysieren von Logdaten. Cloud Monitoring erfasst und speichert Leistungsdaten automatisch. Außerdem bietet es Tools zur Datenvisualisierung und Datenanalyse. Die meisten GKE Enterprise-Clustertypen senden standardmäßig Logging- und Monitoringinformationen für Systemkomponenten (z. B. Arbeitslasten in den Namespaces kube-system und gke-connect) an Cloud Monitoring und Cloud Logging. Sie können Cloud Monitoring und Cloud Logging weiter konfigurieren, um Informationen zu Ihren eigenen Anwendungsarbeitslasten zu erhalten, Dashboards mit mehreren Messwerttypen zu erstellen, Benachrichtigungen zu erstellen und vieles mehr.

Je nach den Anforderungen Ihrer Organisation und Ihres Projekts unterstützt GKE Enterprise auch die Einbindung in andere Beobachtbarkeitstools, einschließlich Open-Source-Prometheus und Grafana, sowie in Tools von Drittanbietern wie Elastic und Splunk.

Weitere Informationen:

Dienstverwaltung

In Kubernetes stellt ein Dienst eine abstrakte Möglichkeit dar, eine Anwendung, die auf einer Reihe von Pods ausgeführt wird, als Netzwerkdienst mit einer einzigen DNS-Adresse für den Traffic zu den Dienstarbeitslasten verfügbar zu machen. In einer modernen Microservices-Architektur kann eine einzelne Anwendung aus zahlreichen Diensten bestehen und für jeden Dienst können mehrere Versionen gleichzeitig bereitgestellt werden. Bei dieser Art von Architektur erfolgt die Dienst-zu-Dienst-Kommunikation über das Netzwerk, weshalb Dienste mit Netzwerkbesonderheiten und anderen zugrunde liegenden Infrastrukturproblemen umgehen können müssen.

Sie können Anthos Service Mesh verwenden, um die Verwaltung von Diensten in Ihrer Flotte zu vereinfachen. Anthos Service Mesh basiert auf Istio, einer Open-Source-Implementierung einer Service Mesh-Infrastrukturebene. Bei Service Meshes werden typische Problembereiche der Dienstausführung wie Monitoring, Netzwerkbetrieb und Sicherheit mit einheitlichen, leistungsstarken Tools gesondert behandelt. Dadurch wird es Dienstentwicklern und -betreibern erleichtert, sich auf die Erstellung und Verwaltung ihrer Anwendungen zu konzentrieren. Anthos Service Mesh abstrahiert diese Funktionen aus dem primären Container der Anwendungen heraus und implementiert sie in einem gemeinsam verwendeten Out-of-Process-Proxy, der als separater Container im selben Pod bereitgestellt wird. Dieses Muster entkoppelt die Anwendungs- oder Geschäftslogik von Netzwerkfunktionen und ermöglicht es Entwicklern, sich auf die Funktionen zu konzentrieren, die das Unternehmen benötigt. Mit Service Meshes können Betriebsteams und Entwicklungsteams ihre Arbeit auch entkoppeln.

Anthos Service Mesh bietet Ihnen zahlreiche Features zusammen mit allen Istio-Funktionen:

  • Dienstmesswerte und Logs für den gesamten Traffic innerhalb des Clusters Ihres Mesh-Netzwerks werden automatisch in Google Cloud aufgenommen.
  • Automatisch erstellte Dashboards zeigen im Anthos Service Mesh-Dashboard eine ausführliche Telemetrie, damit Sie sich mit Ihren Messwerten und Logs vertraut machen und Ihre Daten anhand einer Vielzahl von Attributen filtern und aufschlüsseln können.
  • Dienst-zu-Dienst-Beziehungen auf einen Blick: Erfahren Sie mehr darüber, was eine Verbindung zu jedem Dienst herstellt und welche Dienste davon abhängen
  • Schutz Ihres dienstübergreifenden Traffics: Die Anthos Service Mesh-Zertifizierungsstelle (Mesh CA) generiert und rotiert automatisch Zertifikate, sodass Sie die gegenseitige TLS-Authentifizierung (MTLS) mithilfe von Istio-Richtlinien einfach aktivieren können.
  • Sie sehen schnell den Kommunikations-Sicherheitsstatus nicht nur für den Dienst, sondern auch für seine Beziehungen zu anderen Diensten.
  • Untersuchen Sie Ihre Dienstmesswerte genauer und kombinieren Sie die Werte über Cloud Monitoring mit anderen Google Cloud-Messwerten.
  • Verschaffen Sie sich mit Service Level Objectives (SLOs) einen klaren und einfachen Einblick in den Zustand Ihres Dienstes. So können Sie Ihre eigenen Standards des Dienststatus ganz einfach definieren und Benachrichtigungen dazu ausgeben.

Anthos Service Mesh bietet Ihnen die Wahl zwischen einer vollständig verwalteten Service Mesh-Steuerungsebene in Google Cloud (für Mesh-Netzwerke, die nur in Flottenmitgliedsclustern in Google Cloud ausgeführt werden) oder einer clusterinternen Steuerungsebene, die Sie selbst installieren. Weitere Informationen zu den für jede Option verfügbaren Funktionen finden Sie in der Dokumentation zu Anthos Service Mesh.

Weitere Informationen:

Nächste Schritte